Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Ce document décrit comment configurer l'authentification du message Digest5 (MD5) sur une connexion TCP entre deux pairs BGP.
Aucune spécification déterminée n'est requise pour ce document.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Les sorties de commande présentées dans ce document proviennent des routeurs de la gamme 3660 exécutant IOS® version 12.4(15)T14.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Vous pouvez configurer l'authentification MD5 entre deux homologues BGP, ce qui signifie que chaque segment envoyé sur la connexion TCP entre les homologues est vérifié. L'authentification MD5 doit être configurée avec le même mot de passe sur les deux homologues BGP ; sinon, le lien entre eux ne sera pas établi. La configuration de l’authentification MD5 entraîne la génération et la vérification du résumé MD5 de chaque segment envoyé sur la connexion TCP par le logiciel Cisco IOS.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Ce document utilise la configuration réseau suivante :
Ce document utilise les configurations suivantes :
Configurations du routeur 0 |
---|
R0#! interface Loopback70 ip address 70.70.70.70 255.255.255.255 ! interface Serial1/0 ip address 10.10.10.1 255.255.255.0 serial restart-delay 0 ! router bgp 400 no synchronization bgp log-neighbor-changes neighbor 80.80.80.80 remote-as 400 !--- iBGP Configuration using Loopback Address neighbor 80.80.80.80 password cisco !--- Invoke MD5 authentication on a TCP connection to a BGP peer neighbor 80.80.80.80 update-source Loopback70 no auto-summary ! ip route 80.80.80.80 255.255.255.255 10.10.10.2 !--- This static route ensures that the remote peer address used for peering !--- is reachable. . . |
Configurations du routeur 1 |
---|
R1# ! interface Loopback80 ip address 80.80.80.80 255.255.255.255 ! interface Serial1/0 ip address 10.10.10.2 255.255.255.0 serial restart-delay 0 ! router bgp 400 no synchronization bgp log-neighbor-changes neighbor 70.70.70.70 remote-as 400 !--- iBGP Configuration using Loopback Address neighbor 70.70.70.70 password cisco !--- Invoke MD5 authentication on a TCP connection to a BGP peer neighbor 70.70.70.70 update-source Loopback80 no auto-summary ! ip route 70.70.70.70 255.255.255.255 10.10.10.1 !--- This static route ensures that the remote peer address used for peering !--- is reachable. . . . |
R0# clear ip bgp *
R0# *Mar 1 01:02:17.523: %BGP-5-ADJCHANGE: neighbor 80.80.80.80 Down User reset
R0#debug ip bgp BGP debugging is on for address family: IPv4 Unicast *Mar 1 01:03:58.159: BGP: 80.80.80.80 open failed: Connection timed out; remote host not responding, open active delayed 1782ms (2000ms max, 28% jitter) *Mar 1 01:03:58.415: %SYS-5-CONFIG_I: Configured from console by console *Mar 1 01:03:59.943: BGP: 80.80.80.80 open active, local address 70.70.70.70 *Mar 1 01:04:00.039: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to 70.70.70.70(64444) *Mar 1 01:04:00.807: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(33358) to 70.70.70.70(179) *Mar 1 01:04:01.991: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to 70.70.70.70(64444) *Mar 1 01:04:01.995: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to 70.70.70.70(64444) *Mar 1 01:04:05.995: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to 70.70.70.70(64444) *Mar 1 01:04:06.015: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to 70.70.70.70(64444) *Mar 1 01:04:14.023: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to 70. 70.70.70(64444) *Mar 1 01:04:14.023: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to 70.70.70.70(64444) *Mar 1 01:04:29.947: BGP: 80.80.80.80 open failed: Connection timed out; remote host not responding, open active delayed 3932ms (4000ms max, 28% jitter) *Mar 1 01:04:33.879: BGP: 80.80.80.80 open active, local address 70.70.70.70 *Mar 1 01:04:33.983: BGP: 80.80.80.80 went from Active to OpenSent *Mar 1 01:04:33.983: BGP: 80.80.80.80 sending OPEN, version 4, my as: 400, hold time 180 seconds *Mar 1 01:04:33.987: BGP: 80.80.80.80 send message type 1, length (incl. header ) 45 *Mar 1 01:04:34.091: BGP: 80.80.80.80 rcv message type 1, length (excl. header) 26 *Mar 1 01:04:34.091: BGP: 80.80.80.80 rcv OPEN, version 4, holdtime 180 seconds *Mar 1 01:04:34.091: BGP: 80.80.80.80 rcv OPEN w/ OPTION parameter len: 16 *Mar 1 01:04:34.095: BGP: 80.80.80.80 rcvd OPEN w/ optional parameter type 2 (Capability) len 6 *Mar 1 01:04:34.095: BGP: 80.80.80.80 OPEN has CAPABILITY code: 1, length 4 *Mar 1 01:04:34.095: BGP: 80.80.80.80 OPEN has MP_EXT CAP for afi/safi: 1/1 *Mar 1 01:04:34.095: BGP: 80.80.80.80 rcvd OPEN w/ optional parameter type 2 (Capability) len 2 *Mar 1 01:04:34.095: BGP: 80.80.80.80 OPEN has CAPABILITY code: 128, length 0 *Mar 1 01:04:34.099: BGP: 80.80.80.80 OPEN has ROUTE-REFRESH capability(old) for all address-families *Mar 1 01:04:34.099: BGP: 80.80.80.80 rcvd OPEN w/ optional parameter type 2 (Capability) len 2 *Mar 1 01:04:34.099: BGP: 80.80.80.80 OPEN has CAPABILITY code: 2, length 0 *Mar 1 01:04:34.099: BGP: 80.80.80.80 OPEN has ROUTE-REFRESH capability(new) for all address-families BGP: 80.80.80.80 rcvd OPEN w/ remote AS 400 *Mar 1 01:04:34.103: BGP: 80.80.80.80 went from OpenSent to OpenConfirm *Mar 1 01:04:34.103: BGP: 80.80.80.80 went from OpenConfirm to Established *Mar 1 01:04:34.103: %BGP-5-ADJCHANGE: neighbor 80.80.80.80 Up
Si un mot de passe est configuré pour un voisin, mais que le routeur voisin ne l'est pas, un message comme celui-ci s'affiche alors que les routeurs tentent d'établir une session BGP entre eux :
%TCP-6-BADAUTH: No MD5 digest from [peer's IP address]:11003 to [local router's IP address]:179
De même, si les deux routeurs ont des mots de passe différents configurés, un message comme celui-ci s’affiche :
%TCP-6-BADAUTH: Invalid MD5 digest from [peer's IP address]:11004 to [local router's IP address]:179
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
R0#show ip bgp neighbors | inclure BGP
BGP neighbor is 80.80.80.80, remote AS 400, internal link BGP version 4, remote router ID 80.80.80.80 BGP state = Established, up for 00:08:26 BGP table version 1, neighbor version 1/0
BGP router identifier 70.70.70.70, local AS number 400 BGP table version is 1, main routing table version 1 Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 80.80.80.80 4 400 75 75 1 0 0 00:08:52 0
R1#show ip bgp summary
BGP router identifier 80.80.80.80, local AS number 400 BGP table version is 1, main routing table version 1 Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 70.70.70.70 4 400 76 76 1 0 0 00:09:27 0
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
29-Oct-2010 |
Première publication |